Violación de Datos en Equifax
November 18, 2023 | Author: Anonymous | Category: N/A
Short Description
Download Violación de Datos en Equifax...
Description
1 2 0 -S 1 3 REV: 25 DE ABRIL, 2019
SURAJ SRINIVASAN QUINN PITCHER JONAH S. GOLDBERG
Violación de datos en Equifax Era el 4 de octubre del 2017, y Richard Smith, el ex CEO de Equifax, acababa de testificar ante el Comité del Senado de los Estados Unidos sobre Banca, Vivienda y Asuntos Urbanos. Fue llamado ante el Comité para abordar la violación de datos que Equifax había experimentado entre mayo y julio a principios de ese año, y que expuso información personal sobre más de 145 millones de estadounidenses. Smith había renunciado poco más de una semana antes, fue la última víctima de la crisis masiva en la agencia de informes de crédito, que había reclamado los trabajos de otros dos ejecutivos y engendró acusaciones de tráfico de información privilegiada, investigaciones y docenas de demandas. a Los observadores criticaron la preparación de seguridad cibernética de Equifax, ya que surgieron informes de que la compañía había sido notificada sobre la vulnerabilidad de software explotada por su atacante a principios de marzo, pero no había podido solucionarla a tiempo. También criticaron la respuesta de la compañía al incumplimiento, especialmente el retraso entre el momento en que Equifax descubrió el incumplimiento (29 de julio) y el momento cuando lo reveló al público (7 de septiembre). Otros cuestionaron por qué la junta no fue notificada hasta tres semanas después de que se descubrió la violación y si la respuesta de la junta fue adecuada. El sustituto de Smith, el CEO interino Paulino do Rego Barros, Jr., y la junta necesitaban responder a estas críticas. Enfrentando una avalancha de demandas e investigaciones, Equifax tuvo que mejorar sus sistemas de seguridad cibernética y convencer tanto a los consumidores como a los funcionarios públicos de que seguía siendo un administrador confiable de la información confidencial. Lograr esto, sin embargo, parecía más fácil decirlo que hacerlo.
Equifax Fundada en 1899, Equifax Inc. (Equifax) era una compañía de informes crediticios de los EE. UU. junto con Experian y TransUnion, la empresa fue una de las tres principales compañías de informes de a Las múltiples investigaciones del Congreso (por el Comité del Senado sobre Banca, Vivienda y Asuntos Urbanos, el Comité del
Senado sobre Seguridad Nacional y Asuntos Gubernamentales, y el Comité de Supervisión y Reforma del Gobierno de la Cámara de Representantes) sobre la violación, produjeron una serie de informes que detallan causas y consecuencias de la ex filtración de datos del consumidor. Se hará referencia a estos informes a lo largo del caso como productos de investigaciones del Congreso.
El caso de LACC número 120-S13 es la versión en español del caso de HBS número 118-031. Los casos de HBS se desarrollan únicamente para su discusión en clase. No es el objetivo de los casos servir de avales, fuentes de datos primarios, o ejemplos de una administración buena o deficiente. Copyright © 2017, 2018, 2019 President and Fellows of Harvard College. No se permitirá la reproducción, almacenaje, uso en planilla de cálculo o transmisión en forma alguna: electrónica, mecánica, fotocopiado, grabación u otro procedimiento, sin permiso de Harvard Business School.
This document is authorized for use only in Andrés Navas's MINCD-Andrés Navas at UDLA Universidad de las Americas from Sep 2021 to Nov 2021.
120-S13
Violación de datos Equifax
crédito, que respondió y proporcionó información sobre ingresos y solvencia a organizaciones e individuos. "Alimentando al mundo con conocimiento", el eslogan de la compañía, capturó sus aspiraciones. La compañía escribió en su informe anual del 2016 que: Aprovechamos algunas de las mayores fuentes de datos comerciales y del consumidor, junto con análisis avanzados y tecnología patentada, para crear información personalizada que permita a nuestros clientes comerciales crecer más rápido, de manera más eficiente y rentable, e informar y capacitar a los consumidores. Los negocios confían en nosotros para la inteligencia crediticia de los consumidores y las empresas, la gestión de la cartera de crédito, la detección de fraudes, la tecnología de decisión b, las herramientas de marketing, la gestión de la deuda y los servicios relacionados con los recursos humanos. También ofrecemos una cartera de productos que permiten a los consumidores individuales administrar sus asuntos financieros y proteger su identidad. Equifax recopiló información crediticia de consumidores y empresas de los bancos, la analizó mediante procesos patentados y vendió el análisis crediticio, generando un margen bruto de alrededor del 90 por ciento. Equifax gestionó datos de más de 820 millones de consumidores y más de 91 millones de empresas en todo el mundo. 1 El negocio principal de Equifax era su segmento de Servicios de Información de EE. UU. (USIS, por sus siglas en inglés), que comprendía servicios de información en línea, soluciones hipotecarias y servicios de marketing financiero. Los primeros dos servicios derivaron ingresos de la venta de informes y puntajes de crédito de consumo y comercial. Los informes de crédito contenían información personal, incluido el historial de pago de facturas, préstamos, deudas, residencia e historial de trabajo, que proporcionaban una imagen completa de la solvencia de un individuo u organización. Los prestamistas utilizaron informes de crédito para evaluar las solicitudes de préstamos y créditos. 2 En el segmento de Workforce Solutions de Equifax, los mismos datos recopilados para los informes de crédito al consumidor se vendieron a organizaciones que buscaban verificar el empleo individual y el historial de ingresos. Equifax también ofreció a las empresas servicios para manejar reclamos de desempleo, créditos fiscales basados en el empleo y otros programas similares. La compañía también operaba un segmento de Global Consumer Solutions que brindaba productos de monitoreo de crédito y protección contra robo de identidad en los EE. UU., Canadá y el Reino Unido. 3 Equifax tuvo un gran éxito, impulsado por sus servicios de recopilación y análisis de datos. Durante la gestión de Smith como CEO (de septiembre del 2005 a septiembre del 2017), el precio de sus acciones se había más que cuadruplicado y la compañía había realizado quince adquisiciones. 4
Ciberseguridad en Equifax La estructura de informes Su modelo comercial intensivo en información hizo que la empresa fuera atractiva para los cibercriminales. Por lo tanto, la seguridad de la información era primordial para la empresa. Equifax redactó en su informe anual del 2016: Regularmente somos blanco de intentos de amenazas de seguridad cibernéticas y de otras formas, y debemos monitorear y desarrollar continuamente nuestras redes e infraestructura de tecnología de la información para prevenir, detectar, abordar y mitigar b En su informe anual del 2016, Equifax describió esto como "servicios de software de toma de decisiones, que facilitan y
automatizan una variedad de decisiones comerciales y de consumo orientadas al crédito". Informe anual del 2016. Equifax, Inc., pág. 12
2 This document is authorized for use only in Andrés Navas's MINCD-Andrés Navas at UDLA Universidad de las Americas from Sep 2021 to Nov 2021.
Violación de datos Equifax
120-S13
el riesgo de acceso no autorizado, mal uso, virus informáticos y otros eventos que podrían tener un impacto en la seguridad. 5 Después de que Smith fuera nombrado CEO en el 2005, la compañía invirtió millones en medidas de ciberseguridad. Este esfuerzo continuó con el tiempo, gastando alrededor del uno por ciento de sus ingresos operativos en ciberseguridad cada año entre los años 2014 y 2017. 6 Al comienzo de su gestión, Smith contrató a un experto en ciberseguridad, Tony Spinelli, como director de seguridad (CSO, por sus siglas en inglés), quien trabajó para modernizar las ciberdefensas de Equifax, ensayando posibles infracciones y creando "escuadrones de gestión de crisis las 24 horas" que solucionarían los problemas a medida que surgieran. Spinelli y su principal protegido abandonaron la compañía en el 2013, seguidos de otros empleados de alto nivel en seguridad cibernética”. 7 Las responsabilidades de seguridad de la información en Equifax se habían dividido entre dos cadenas de mando diferentes. El primero de ellos fue la cadena de mando legal/de seguridad. Aquí, el director legal (CLO, por sus siglas en inglés) supervisó a la OSC, que administraba el grupo de seguridad, que comprendía entre 180 y 190 empleados al momento de la violación. En el momento de la violación, el CLO John Kelley, carecía de experiencia en TI o seguridad y había estado en el cargo desde el 2013. El CSO era Susan Mauldin, una ex ingeniera de software que hizo la transición para administrar los sistemas de seguridad de la información corporativa algunos años antes para unirse a Equifax. La segunda cadena de mando se ocupó de la tecnología de la información (TI). Estaba encabezado por el director de información (CIO, por sus siglas en inglés), David Webb. Este último se unió a Equifax en el 2010 después de tres décadas de trabajar en TI. c Webb y Kelley informaron directamente al CEO, Richard Smith. 8 Webb describió la división de responsabilidades entre la seguridad y las organizaciones de TI de la siguiente manera: Típicamente, la forma en que el trabajo se separaba entre las organizaciones, la organización de seguridad definiría el "qué". Tenían una función de ingeniería de seguridad. Los técnicos de TI fueron responsables de implementar la tecnología que [seguridad] quería en la infraestructura, y luego [a seguridad] se les proporcionaría la capacidad de configurar el software, toda la solución [sic], el dispositivo, lo que sea, de acuerdo con sus necesidades. 9 Y continuó: La política se definió típicamente dentro de la organización de seguridad…La organización de TI sería responsable de garantizar que, en el caso, por ejemplo, de un parche, se aplique el mismo. Porque la organización de seguridad no pudo efectuar cambios en la infraestructura directamente. Podían operar software, pero no podían instalar el software y no podían cambiar la infraestructura”. 10 Además de estos ejecutivos, Graeme Payne, vicepresidente senior y CIO de plataformas corporativas globales (de julio del 2014 a octubre del 2017, anteriormente vicepresidente de cumplimiento y riesgo de TI de Equifax desde marzo del 2011), supervisó importantes funciones de ciberseguridad en Equifax. Payne informó a Webb, el CIO, y fue responsable de supervisar la "gestión de acceso, la coordinación de auditoría y la coordinación de seguridad de TI" en el momento de la infracción. 11 Varios equipos se ocuparon de problemas de ciberseguridad en Equifax. Entre ellos estaban el equipo de Global Threat y Vulnerability Management (GTVM), el equipo de Evaluación de Vulnerabilidad y el
c Mauldin y Webb renunciaron en septiembre de 2017, tras las consecuencias de la violación.
3 This document is authorized for use only in Andrés Navas's MINCD-Andrés Navas at UDLA Universidad de las Americas from Sep 2021 to Nov 2021.
120-S13
Violación de datos Equifax
equipo de Contramedidas. El equipo de GTVM rastreó las amenazas a la seguridad de los sistemas de TI y notificó al personal relevante de toda la compañía sobre dichas amenazas a través de correos electrónicos y reuniones mensuales. El equipo de Evaluación de Vulnerabilidad realizó exploraciones periódicas de los sistemas de TI en busca de vulnerabilidades; y el equipo de Contramedidas implementó un código diseñado para obstruir la explotación de vulnerabilidades continuas, mientras que los "propietarios del sistema" de TI instalaron parches para resolver los problemas de software subyacentes. 12
Problemas de seguridad anteriores Antes de la violación en el 2017, Equifax había sufrido varias fallas de seguridad. Entre abril del 2013 y enero del 2014, los piratas informáticos accedieron a los datos del informe de crédito. En el 2015, un "error técnico" aparentemente causado por modificaciones de software expuso públicamente la información del consumidor. En el 2016, otro incidente expuso los datos de salarios e impuestos de 431,000 empleados del cliente Kroger. Finalmente, en febrero del 2017, Equifax descubrió que los piratas informáticos estaban explotando Equifax Workforce Solutions, descargando documentos de impuestos de empleados de clientes como Northrop Grumman y Whole Foods. La empresa contrató a la empresa de ciberseguridad Mandiant para investigar el incidente de Workforce Solutions en marzo. Mientras realizaba su investigación, Mandiant "advirtió a Equifax que sus sistemas no parcheados y sus políticas de seguridad mal configuradas podrían indicar problemas importantes". 13 Equifax había recibido otras advertencias sobre posibles vulnerabilidades de ciberseguridad. En diciembre del 2016, un investigador independiente descubrió que Equifax había dejado la información del consumidor expuesta en un sitio web accesible para cualquier usuario de Internet (aparentemente destinado solo a los empleados). El investigador alertó sobre la vulnerabilidad, pero la compañía no eliminó el sitio web hasta junio del 2017. Equifax también contrató a la firma de servicios profesionales Deloitte para realizar una auditoría de seguridad en el 2016. La auditoría identificó varios problemas, incluido, dijo un ex empleado: "un enfoque descuidado para los sistemas de parches". Otro ex empleado dijo que los intentos de realizar la auditoría no fueron atendidos: "cada vez que hubo una discusión sobre hacer algo, tuvimos un momento difícil para que la gerencia entendiera lo que incluso pedíamos". 14 Varias empresas de análisis de riesgos cibernéticos habían descubierto previamente, que Equifax estaba mal preparado para prevenir y responder a una violación de datos. En abril del 2017, Cyence, una empresa de seguridad cibernética especializada en cuantificar el impacto financiero de los riesgos cibernéticos, evaluó una probabilidad del 50 por ciento de que Equifax experimentara una violación en el siguiente año y descubrió que las medidas de seguridad cibernéticas de la compañía eran las últimas en un grupo de pares de 23 empresas de servicios financieros. Otros informes identificaron problemas con la higiene de datos. Fair Isaac Corp. (FICO), que analizó el riesgo cibernético corporativo con fines de suscripción de seguros, asignó a Equifax una calificación de seguridad empresarial de alrededor de 550 en una escala de 300 a 850 y descubrió que los sitios web públicos administrados por la empresa "tenían certificados caducados, errores en el cadena de certificados u otros problemas de seguridad web” en julio del 2017. En una escala de A-F, siendo F lo peor, BitSight Technologies, una firma de investigación de seguridad cibernética, le otorgó a Equifax una calificación F para seguridad de aplicaciones y una D para parcheo de software. 15 El equipo de investigación de ESG de MSCI fue especialmente crítico con la preparación de seguridad cibernética de Equifax, otorgando a la compañía una calificación de cero para la privacidad y seguridad de datos en abril del 2017; y una calificación general de ESG de CCC (su calificación más baja posible, otorgada a solo el cinco por ciento de las empresas). d Específicamente, MSCI señaló: "Las políticas de d MSCI calificó a otras compañías en el grupo de pares de Equifax con un puntaje de 9.5 sobre 10 en privacidad y seguridad de
datos.
4 This document is authorized for use only in Andrés Navas's MINCD-Andrés Navas at UDLA Universidad de las Americas from Sep 2021 to Nov 2021.
Violación de datos Equifax
120-S13
privacidad y de datos de la compañía tenían un alcance limitado y Equifax no mostraba evidencia de planes de violación de datos o auditorías regulares de sus políticas y sistemas de seguridad de la información". Debido a que todos los ingresos de Equifax se basaron en el uso de datos personales, MSCI creía que esto exponía a la compañía a serios riesgos regulatorios. 16
La vulnerabilidad de Apache Struts A principios de marzo del 2017, un investigador de ciberseguridad descubrió una falla de seguridad en Apache Struts, un software de código abierto utilizado por organizaciones que van desde bancos hasta agencias gubernamentales, para crear aplicaciones web en Java. El investigador proporcionó sus hallazgos a la Fundación Apache, la organización sin fines de lucro responsable de mantener y actualizar el software, que publicó los hallazgos de la investigación y un parche de software para el problema el 6 de marzo. 17 Los investigadores de Cisco Systems enviaron una advertencia sobre la vulnerabilidad el 8 de marzo. 18 La vulnerabilidad era especialmente peligrosa porque era accesible a través de dos exploits disponibles públicamente. Los piratas informáticos podrían simplemente buscar servidores que ejecuten Apache Struts que aún no se hayan parcheado, y al identificar dichos servidores, intentar explotar la debilidad. Una vez que se ejecutara un exploit, el pirata informático podría agregar su propio código a las páginas web, desactivar los firewalls e instalar malware con su dirección IP enmascarada para evitar el rastreo. 19 Este proceso tampoco fue especialmente difícil. Una investigación del Senado descubrió que "las personas con conocimientos básicos de informática, no solo piratas informáticos expertos, podían seguir las instrucciones publicadas y aprovechar la vulnerabilidad". 20 La popularidad del software y la gravedad de la vulnerabilidad llevaron al Equipo de Preparación para Emergencias Informáticas (CERT, por sus siglas en inglés) del Departamento de Seguridad Nacional de EE. UU. a alertar a las partes potencialmente vulnerables, también el 8 de marzo. 21 Entre los notificados estaban el equipo GTVM de Equifax y Mauldin, su OSC. Equifax usó Apache Struts como middleware para su Sistema Automatizado de Entrevistas al Consumidor (ACIS, por sus siglas en inglés), un portal web que permitía a los consumidores disputar artículos en sus informes de crédito. 22 El 9 de marzo, el equipo de GTVM distribuyó la notificación de CERT a aproximadamente 430 empleados de Equifax en los servidores de listas relevantes. Según las políticas internas, el parche Apache Struts era "crítico" y, por lo tanto, debía implementarse dentro de las 48 horas posteriores a su lanzamiento. 23 Sin embargo, en palabras de Smith, "La versión vulnerable de Apache Struts dentro de Equifax no fue identificada o parcheada en respuesta a la notificación interna del 9 de marzo". 24 Si bien la vulnerabilidad se discutió con cierta profundidad en la reunión mensual de amenazas del equipo de GTVM, el 16 de marzo del 2017, la mayoría de los gerentes senior de Equifax con responsabilidades de seguridad cibernética generalmente no asistían a estas reuniones. No se requería que nadie asistiera a ellos, y la compañía no registró qué empleados eligieron asistir. Muchos empleados recibieron la presentación de diapositivas presentada en la reunión por correo electrónico, que incluía el parche Apache Struts en una lista de parches de software necesarios, así como una lista de las versiones comprometidas e instrucciones específicas que explicaban cómo actualizarlos. Debido a que las vulnerabilidades antiguas generalmente no se incluyeron en las diapositivas GTVM de los meses posteriores, la vulnerabilidad Apache Struts estaba ausente de la lista de parches necesarios de abril del 2017. 25 Como medida provisional antes de reparar una vulnerabilidad, los responsables de la seguridad de un sistema vulnerable a menudo instalaban firmas y reglas para identificar y obstruir los esfuerzos para explotar la vulnerabilidad en cuestión. En Equifax, la instalación de tales firmas y reglas fue manejada por 5 This document is authorized for use only in Andrés Navas's MINCD-Andrés Navas at UDLA Universidad de las Americas from Sep 2021 to Nov 2021.
120-S13
Violación de datos Equifax
el equipo de contramedidas. Para el día en que el equipo de GTVM recibió la alerta de CERT sobre la vulnerabilidad, dos proveedores de inteligencia de amenazas diferentes ya habían lanzado firmas diseñadas para defenderse de ataques relacionados, pero debido a problemas técnicos, este equipo tardó hasta el 14 de marzo en instalarlas. El día que se instalaron estas firmas en los sistemas Equifax, bloquearon un "número significativo" de intentos de infiltrarse en la red de la compañía a través de la vulnerabilidad Apache Struts. Posteriormente, tanto el equipo de Evaluación de Vulnerabilidad de Equifax como su equipo de GTVM realizaron escaneos de los sistemas de la compañía en busca de versiones vulnerables de Apache Struts, y ninguno de los escaneos del equipo arrojó ningún resultado. 26
El incumplimiento Los piratas informáticos que exploraron la vulnerabilidad sin parches la descubrieron en un servidor Equifax el 10 de marzo. A partir de ahí, un "equipo de entrada" violó a Equifax utilizando la vulnerabilidad Apache Struts antes de pasar la operación a un equipo más sofisticado, que trabajó durante los siguientes meses para establecer acceso a docenas de bases de datos Equifax (ver Anexo 1 para una explicación técnica del hack). El nuevo equipo creó más de 30 ingresos falsos en los sistemas de Equifax utilizando shells de web registrados en direcciones de Internet únicas (lo que aumenta la dificultad de encontrarlos a todos). 27 A partir del 13 de mayo, los piratas informáticos comenzaron a recopilar información de identificación personal (PII, por sus siglas en inglés). Los hackers continuaron acumulando PII de los servidores de Equifax hasta mediados del verano. En la tarde del 29 de julio, el equipo de Contramedidas de Equifax actualizó 74 certificados de Capa de sockets seguros (SSL, por sus siglas en inglés) en una variedad de aplicaciones diferentes, incluido el portal ACIS. Los certificados SSL eran un componente clave de un protocolo de seguridad que permitía el intercambio de datos cifrados entre navegadores web y servidores. Por lo general, los certificados debían renovarse entre cada 12 y 39 meses para mantenerse activos, y en años anteriores, Equifax había permitido que cientos de ellos caducaran en su red. La actualización del certificado ACIS reactivó un "dispositivo de visibilidad SSL", que permitió al equipo de Contramedidas monitorear el tráfico en el portal ACIS. Cuando el dispositivo de visibilidad SSL fue reactivado, mostró tráfico ACIS desde una dirección IP en China. Esto saltó al equipo de Contramedidas porque Equifax no operaba en China. De inmediato bloquearon la dirección IP. Al día siguiente, notaron tráfico adicional desde otra dirección IP asociada con una entidad china y decidieron desconectar el portal de ACIS, lo que impidió el acceso de los piratas informáticos. 28 Cuando Equifax descubrió la extensión de la violación, cerró por completo su portal de disputas durante 11 días mientras su personal de seguridad cibernética trabajaba para identificar cada punto de entrada. Webb, el CIO, informó a Smith de la actividad sospechosa el 31 de julio, pero Webb no dejó en claro que la PII había sido robada en ese momento. El 2 de agosto, Equifax contrató al bufete de abogados King & Spalding LLP, así como a Mandiant, para investigar la violación y denunció la actividad sospechosa en su red a la Oficina Federal de Investigaciones (FBI, por sus siglas en inglés) de EE. UU. 29 El 11 de agosto, la investigación de Equifax y Mandiant descubrió que los piratas informáticos habían podido ir más allá de los datos contenidos en el portal de disputas y "podían haber accedido a una tabla de la base de datos que contenía una gran cantidad de PII del consumidor, y potencialmente a otras tablas de datos". Smith fue informado que la PII del consumidor había sido robada el 15 de agosto. En una presentación de inversionistas al día siguiente, Smith no mencionó nada sobre la investigación en curso o la posible violación. El 17 de agosto, celebró una reunión de altos directivos para recibir una "sesión informativa detallada" sobre la investigación; y el 22 de agosto, notificó por primera vez a un miembro de la junta, el director principal Mark Feidler, sobre la violación. La junta completa fue informada a través de reuniones telefónicas el 24 y 25 de agosto. Smith dijo: “el 1 de septiembre, convoqué una reunión de la Junta donde discutimos la magnitud de la violación y lo que 6 This document is authorized for use only in Andrés Navas's MINCD-Andrés Navas at UDLA Universidad de las Americas from Sep 2021 to Nov 2021.
Violación de datos Equifax
120-S13
aprendimos hasta ahora, y señaló que la compañía continuaba investigando.” El equipo de investigación de Equifax finalizó su lista inicial de las 143 millones de personas que se creía afectadas, el 4 de septiembre. 30 Los piratas informáticos obtuvieron nombres, números de Seguro Social, fechas de nacimiento y direcciones para cada uno de esos 143 millones de personas, y para un número menor, direcciones de correo electrónico, números de licencia de conducir, números de tarjeta de crédito, números de pasaporte, información de identificación fiscal y documentos de disputas de reportes crediticios. 31
Fuentes de vulnerabilidad dentro de Equifax Controles internos y el proceso de gestión de parches Durante su testimonio ante el Congreso, Smith culpó a un solo empleado por no implementar el parche de software, sugiriendo que la vulnerabilidad no se había solucionado porque un gerente había descuidado reenviar un correo electrónico de advertencia. En una entrevista con investigadores del Congreso, Graeme Payne expresó su creencia de que Smith se refirió a él. Payne luego disputó la caracterización de Smith, diciendo: Para afirmar que un vicepresidente senior de la organización debe enviar información de alerta de vulnerabilidad a las personas. . . una especie de tres o cuatro capas en la organización en cada alerta simplemente no retiene el agua, no tiene ningún sentido. Si ese es el proceso en el que la empresa tiene que confiar, entonces ese es un problema. 32 Payne no creía que fuera su trabajo pasarle el correo electrónico de GTVM a nadie. Afirmó que nunca recibió instrucciones de reenviar correos electrónicos de este tipo, y creía que había recibido el correo electrónico "con fines informativos". 33 También señaló que la responsabilidad de resolver las vulnerabilidades de software en Equifax estaba determinada por la política de gestión de parches de la compañía. La política de administración de parches designó tres roles diferentes en la implementación de parches de software. El "dueño del negocio" fue el encargado de determinar cuándo los sistemas implicados debían desconectarse para poder repararlos. El "propietario del sistema" fue acusado de parchear el software en cuestión, y el "propietario de la aplicación" se encargó de asegurarse de que el software había sido reparado. Los informes del Congreso diferían sobre si los ocupantes de estos roles estaban designados formalmente, pero como mínimo, tales designaciones eran "ambiguas". Por su parte, Payne estaba bastante seguro de que no era uno de ellos, y no creía que fuera su responsabilidad de notificar a los propietarios del sistema y los propietarios de la aplicación bajo su supervisión de la vulnerabilidad porque la política de administración de parches requería que todos se suscribieran a "boletines de distribución de vulnerabilidades", incluido el boletín publicado por CERT. 34 Como el CIO y CSO de la compañía testificaron ante el Congreso, "No hubo redundancias dentro del proceso de parcheo para garantizar que las personas adecuadas fueran notificadas de la necesidad de iniciar tal acción". Una auditoría interna Equifax realizó su infraestructura de administración de parches en el 2015, y concluyó que todo el proceso tuvo lugar en "el sistema de honor". 35 Esa auditoría interna del 2015 identificó una serie de problemas importantes con el proceso de administración de parches de Equifax (lo que resultó en una acumulación de 8,500 vulnerabilidades sin parches), y en el 2017, muchos de esos problemas quedaron sin resolver. De hecho, cuando en agosto del 2017, Equifax investigó fallas de seguridad en su sistema ACIS, tres de las seis fallas que identificó también se habían planteado en la auditoría de gestión de parches del 2015. Uno de estos tres de particular importancia fue la falta de un inventario integral de sus activos de TI. Aunque la 7 This document is authorized for use only in Andrés Navas's MINCD-Andrés Navas at UDLA Universidad de las Americas from Sep 2021 to Nov 2021.
120-S13
Violación de datos Equifax
compañía tenía varios inventarios diferentes, estaban dispersos en diferentes divisiones dentro de la organización, y ninguno de ellos era exhaustivo. Esto dejó al personal de seguridad de Equifax y al propio Payne, que estaba a cargo de TI para el sistema ACIS, sin saber que este ejecutó Apache Struts hasta julio del 2017. 36 Otra falla identificada en la auditoría del 2015 que no se había abordado completamente en el 2017 fue que el enfoque de Equifax para la aplicación de parches fue reactivo en lugar de proactivo. Esto significaba que, en lugar de instalar todos los parches de software lanzados para los programas que usaba, solo instaló los parches de software que se demostró que eran necesarios para abordar vulnerabilidades específicas. Según la auditoría del 2015, esto creó un retraso en la instalación de parches críticos: solo se instalaron después de que ya había quedado claro que no instalarlos ponía en peligro la seguridad de los sistemas de la compañía, dejando esos sistemas expuestos en el ínterin. Además, la auditoría encontró que Equifax no tenía un sistema establecido para verificar que las vulnerabilidades identificadas, de hecho, habían sido reparadas con éxito. Aunque la compañía realizó análisis regulares para identificar vulnerabilidades, esos análisis eran imperfectos y, en general, no estaban sujetos a escrutinio. En consecuencia, si una vulnerabilidad dejaba de aparecer en los resultados del escaneo, Equifax asumía que se había abordado adecuadamente, aunque en algunos casos no lo había hecho. Además, el proceso de administración de parches no pudo priorizar parchear los activos tecnológicos "críticos" en lugar de parchear los activos tecnológicos menos importantes, permitiendo tiempos de retraso más largos de lo necesario para la implementación de parches esenciales. Los investigadores del Senado descubrieron que todos estos defectos persistieron durante el tiempo de la violación. 37 Los empleados de Equifax identificaron tres razones para las debilidades en la administración de parches. Primero, debido a que, como compañía, había crecido durante muchos años al adquirir otras compañías, sus sistemas tecnológicos no estaban bien integrados entre sí, lo que dificultaba ciertos análisis y actualizaciones de seguridad en todo el sistema. En segundo lugar, muchos de los activos tecnológicos clave se ejecutaron en sistemas anticuados que tendrían que haberse actualizado para que la empresa cumpliera sus propios objetivos con respecto a la seguridad de la información, pero la actualización de estos sistemas fundamentales "conduciría a un riesgo operacional significativo". Tercero, simplemente no tenía el personal necesario para implementar las tecnologías y procesos que serían necesarios para cumplir con esos objetivos de seguridad interna (consulte el Anexo 2 para una comparación de los procedimientos de ciberseguridad de Equifax con sus competidores). 38
La "brecha de rendición de cuentas" en la estructura organizativa Una investigación del Congreso encontró que parte de la razón por la cual Equifax carecía de un inventario consolidado de activos de TI estaba relacionada con la forma en que organizaba su personal y seguridad. Hasta el 2005, el CSO informaba a su CIO, quien informaba al CEO, como es la práctica entre un cuarto y la mitad de las empresas con dichos puestos. Esta estructura integraba TI y seguridad bajo una cadena de comando unificada y era entendido, incluso por el CIO de Equifax en el momento de la violación, como una mejor práctica de la industria. Si el CSO no informaba al CIO, la otra estructura común en las grandes empresas era que el CIO y el CSO fueran puestos de igual estatus que ambos informaban directamente al CEO y al consejo de administración. Sin embargo, en el 2005, estimulado por un conflicto interpersonal entre su CIO y CSO (ambos habían dejado la compañía en el 2013), Equifax retiró su unidad de seguridad de la información de la supervisión del CIO y, en su lugar, la colocó bajo la supervisión del CLO de la compañía, lo que convertía a este rol en el "jefe de seguridad", una estructura que solo se emplea en alrededor del ocho por ciento de las empresas con tales cargos. 39 Según la investigación, esta división entre la seguridad y las organizaciones de TI creó una "brecha de responsabilidad" en la infraestructura de seguridad de la información de Equifax. 40 El informe del Comité de la Cámara identificó el problema de la siguiente manera: 8 This document is authorized for use only in Andrés Navas's MINCD-Andrés Navas at UDLA Universidad de las Americas from Sep 2021 to Nov 2021.
Violación de datos Equifax
120-S13
Dependiendo de la estructura de informes organizacionales, una empresa adopta los roles de CSO y CIO puede ser conflictiva o complementaria. En Equifax, las organizaciones de TI y Seguridad estaban aisladas, lo que significaba que la información rara vez fluía de un grupo a otro. La colaboración entre ambos departamentos se produjo principalmente cuando era necesario, como cuando Seguridad necesitaba TI para autorizar un cambio en la red. La comunicación y coordinación entre estos grupos fue a menudo inconsistente e ineficaz en Equifax. 41 En abril del 2016, una reestructuración interna de la organización de TI condujo al establecimiento de reuniones mensuales entre los líderes de TI y Seguridad. Estas reuniones tenían como objetivo mejorar los problemas de comunicación y coordinación que habían afectado la relación de las dos divisiones. A ellos asistieron Webb, Payne, Mauldin y Kelley, entre otros. Aunque Payne testificó que las vulnerabilidades clave implicadas en la violación de datos (como problemas con la administración de parches y la implementación de certificados digitales) se discutieron durante las reuniones, no se resolvieron a tiempo para defenderse de los ataques de Apache Struts. 42 Del mismo modo, las reuniones trimestrales de liderazgo senior de Smith tampoco pudieron compensar la ausencia de "líneas claras de responsabilidad para desarrollar políticas de seguridad de TI y ejecutar estas políticas". Debido a Mauldin, la CSO, no fue considerada miembro del liderazgo superior, y por tanto, no asistía a las reuniones. Esto significaba que Smith no recibió actualizaciones periódicas sobre el estado de las preocupaciones de seguridad en Equifax. En la medida en que las preocupaciones de seguridad estuvieron representadas en estas reuniones, estuvieron representadas por la CLO, quien, como se mencionó anteriormente, no tenía experiencia ni capacitación en seguridad de la información. 43
Barreras tecnológicas para la supervisión efectiva Según un informe del Congreso, el principal obstáculo final para la supervisión efectiva de la seguridad de la información en Equifax fue que su tecnología anticuada dificultaba que los equipos de TI y seguridad de la compañía identificaran y abordaran actividades potencialmente maliciosas en sus servidores. El sistema ACIS a través del cual los piratas informáticos Apache Struts obtuvieron acceso a la red de Equifax, por ejemplo, se remontaba a la década de 1970, cuando fue creada a medida para que la empresa cumpliera con la Ley de Informes de Crédito Justos. El informe descubrió además que, debido a su antigüedad y su naturaleza propietaria, el sistema ACIS era "extremadamente difícil de parchar, monitorear o actualizar". De hecho, las únicas personas que eran capaces de mantener el sistema eran un puñado de sus desarrolladores originales, quienes afortunadamente todavía trabajaban para Equifax en el 2017, pero no quedaban muchos. 44 Los investigadores del Congreso concluyeron que, en parte debido a estas dificultades, la infraestructura tecnológica de Equifax carecía de tres características de seguridad bastante estándar que, de haber estado actualizados, habrían hecho que la violación fuera mucho más fácil de detectar y remediar. Primero, el sistema ACIS en particular carecía de procesos de monitoreo de integridad de archivos (FIM, por sus siglas en inglés). Los procesos de FIM escaneaban en busca de alteraciones no autorizadas o sospechosas en los sistemas de TI, configuraciones o archivos de software de aplicación, lo que permitía la detección rápida de la gran mayoría de las estrategias comunes de ataque cibernético. Los expertos creen que si Equifax hubiera implementado procesos FIM en el 2017, habría detectado la violación antes de que se robara una cantidad significativa de datos. Mauldin, el CSO, no sabía que el sistema ACIS carecía de FIM hasta después de que se descubrió la violación. 45 En segundo lugar, los servidores web de Equifax solo retuvieron los archivos de registro de 30 días previos, mientras que el Instituto Nacional de Estándares y Tecnología recomendó que las compañías retengan los registros que se remontaban al menos tres meses (y hasta un año, en algunos casos). Los archivos de registro mostraron la actividad en una red, lo que permitía a los investigadores regresar 9 This document is authorized for use only in Andrés Navas's MINCD-Andrés Navas at UDLA Universidad de las Americas from Sep 2021 to Nov 2021.
120-S13
Violación de datos Equifax
después de una presunta violación e identificar con precisión qué sistemas e información se vieron comprometidos. También facilitaron la determinación de cómo los piratas informáticos obtuvieron acceso a una red, permitiendo a los profesionales de seguridad eliminar más rápidamente las vulnerabilidades y las puertas traseras. Los expertos en seguridad de la información descubrieron que los "ataques avanzados dirigidos" a las redes de empresas del sector financiero solo se detectaron después de, en promedio, 98 días, por lo que mantener los archivos de registro durante al menos ese tiempo se consideraba crucial. 46 En tercer lugar, Equifax no contaba con un proceso para garantizar que los certificados SSL en todos sus sistemas estuvieran constantemente actualizados. En el momento de la infracción, Equifax estaba a mitad de la implementación de un nuevo sistema de administración de certificados SSL que habría rastreado el estado de este tipo de certificados en la red de la compañía en todas las aplicaciones, lo que permitía un análisis regular de toda la red en busca de certificados caducados. Hasta ese momento, sin embargo, la responsabilidad de mantener cada certificado SSL individual recaía en el miembro del personal de TI responsable de la aplicación correspondiente. Esto había llevado a una importante acumulación de certificados vencidos. 47 Muchos de los certificados SSL caducados de Equifax eran parte de "dispositivos de visibilidad SSL" (SSLV, por sus siglas en inglés), que, cuando estaban activos, supervisaban el tráfico cifrado dentro y fuera de la red de la empresa. Estos dispositivos se configuraron para continuar permitiendo el tráfico continuo incluso cuando no podían monitorearlo debido a los certificados caducados. Como resultado, una vez que el certificado SSLV del sistema ACIS expiró en el 2016, Equifax no tuvo la capacidad de monitorear el tráfico web dentro o fuera de ACIS hasta después de la infracción. Esto significó que cuando en julio del 2017, los expertos en seguridad cibernética comenzaron a tratar de determinar cuánto daño habían hecho los piratas informáticos, carecían de los registros de actividad del servidor necesarios para resolverlo. Equifax sabía de esta vulnerabilidad en sus sistemas ya en enero del 2017, cuando se creó un registro de seguridad interno que decía: "Los dispositivos SSLV no tienen certificados, lo que limita la visibilidad de los ataques basados en la web", pero el problema no se resolvió. A mediados del 2017, había al menos 324 certificados SSL caducados en la red de Equifax, y 79 de ellos estaban ubicados en sistemas que "supervisaban dominios muy críticos para el negocio". 48 Además, una vez que los piratas informáticos se infiltraron en el sistema de Equifax a través del portal ACIS, pudieron moverse libremente a través de su red "a cualquier otro dispositivo, base de datos o servido. . . globalmente", porque los servidores que alojaban el sistema ACIS no estaban segmentados del resto de la red de Equifax. Aunque la empresa afirmó a los investigadores del Senado que esta fue una elección deliberada para aumentar la eficiencia operativa, la investigación del Senado concluyó que para que el sistema funcionara correctamente, solo habría requerido conexiones a tres bases de datos externas. En cambio, estaba conectado a un número mucho mayor. Mauldin admitió ante el Comité de la Cámara de Representantes que la segmentación apropiada habría reducido la gravedad de la violación de datos, y tanto ella como Payne confesaron que no habían sido conscientes de la falta de segmentación hasta que se descubrió la violación. 49 Los servidores también permitieron a los usuarios acceder a archivos confidenciales de administrador y configuración desde fuera del sistema. Al igual que la falta de segmentación, la investigación de la Cámara encontró que esto era un alejamiento sustancial de las mejores prácticas consensuadas en ciberseguridad. Como explicaba el informe de la Cámara, "Si Equifax tuviera acceso limitado a archivos confidenciales en todos sus sistemas, los atacantes podrían no haber encontrado las credenciales de la aplicación almacenada utilizadas para acceder a las bases de datos confidenciales fuera del entorno ACIS". 50
10 This document is authorized for use only in Andrés Navas's MINCD-Andrés Navas at UDLA Universidad de las Americas from Sep 2021 to Nov 2021.
Violación de datos Equifax
120-S13
Anuncio y respuesta de incumplimiento de Equifax El 7 de septiembre del 2017, Equifax anunció públicamente que había sufrido una violación de datos al exponer información personal de 143 millones de estadounidenses (consulte el Anexo 3 para el comunicado de prensa inicial de Equifax y el Anexo 4 para una comparación de los retrasos en la divulgación de incumplimiento en todas las empresas). Equifax anunció que había establecido un sitio web para ayudar a los consumidores a determinar si estaban afectados por la violación y que había contratado a Mandiant para ayudarlo a evaluar el impacto del ataque. 51 Smith dijo: "Si bien hemos realizado importantes inversiones en seguridad de datos, reconocemos que debemos hacer más. Y lo haremos". 52 El precio de las acciones de Equifax cayó de un máximo de $ 143 antes del anuncio de incumplimiento el 7 de septiembre, a $ 93 aproximadamente una semana después, el 15 de septiembre, una disminución de alrededor del 35 por ciento. Ese mismo día, se supo que el Director Financiero (CFO, por sus siglas en inglés) de Equifax, el presidente de soluciones de información de EE. UU. y el presidente de soluciones de fuerza laboral habían vendido alrededor de $ 1.8 millones en acciones el 1 y 2 de agosto. Una portavoz de Equifax dijo que los tres no tenían conocimiento de la violación. 53 Equifax tomó varias medidas para proteger a los consumidores afectados por el incumplimiento, incluyendo: “1) monitoreo de los archivos de crédito por parte de las tres agencias de crédito; 2) bloqueo de crédito; 3) informes de crédito; 4) seguro de robo de identidad; y 5) Escaneo del número de Seguro Social "dark web" durante un año". 54 Estos servicios, parte del servicio TrustedID Premier de Equifax, se pusieron a disposición de todos los consumidores estadounidenses de forma gratuita durante un año. 55 A pesar de los esfuerzos de la compañía, la respuesta a la violación de Equifax exhibió errores significativos. Por ejemplo, después de que la compañía creó un sitio web que proporcionaba información sobre la violación de un dominio único: equifaxsecurity2017.com, un desarrollador web creó un sitio de aspecto similar en securityequifax2017.com para ilustrar el riesgo de seguridad que representaba un dominio único. Esto confundió incluso la cuenta oficial de Twitter de Equifax, que dirigió a los consumidores al sitio web falso (ver los Anexos 5 y 6 para los sitios web de seguridad reales y simulados de Equifax). 56 El sitio web en sí tenía varios problemas. Un informe preparado por la Oficina de la Senadora Elizabeth Warren encontró: El sitio web se configuró para ejecutarse en una instalación estándar de WordPress, que no incluía las características de seguridad necesarias para proteger la información confidencial que los consumidores enviaron, y que el certificado de Seguridad de la capa de tráfico del sitio web tampoco realizó las verificaciones de revocación adecuadas, lo que habría asegurado que se estableciera una conexión segura y protegiera los datos de un usuario. Y luego, el 12 de octubre, Equifax se vio obligada a eliminar una página web donde las personas podían aprender cómo obtener un informe de crédito gratuito cuando un analista de seguridad informó que los visitantes del sitio fueron blanco de anuncios emergentes maliciosos. 57 Los consumidores también estaban frustrados por la dificultad de contactar a Equifax. Inmediatamente después de la violación, la compañía tenía alrededor de 500 representantes de servicio al cliente en el personal, lo que lo obligó a contratar rápidamente a otros 2,000 en el mes posterior al anuncio. 58 El Buró de Protección Financiera del Consumidor (CFPB, por sus siglas en inglés) reportó más de 7,500 quejas en los dos meses siguientes relacionadas con llamadas caídas, largos tiempos de espera y agentes de Equifax que no respondían las llamadas. 59 11 This document is authorized for use only in Andrés Navas's MINCD-Andrés Navas at UDLA Universidad de las Americas from Sep 2021 to Nov 2021.
120-S13
Violación de datos Equifax
La controversia incluso rodeó la oferta de la compañía de monitoreo gratuito de archivos de crédito y protección contra robo de identidad. Este servicio fue proporcionado por TrustedID, propiedad de Equifax. Los críticos se quejaron de que el servicio solo era gratuito durante el primer año; después de eso, se cobraría a los consumidores si no llamaran a TrustedID para cancelar su suscripción. Los críticos se enfurecieron aún más porque la oferta de protección requería que aquellos que se inscribieran aceptaran una cláusula de arbitraje obligatorio y vinculante que les impidiera demandar a Equifax, incluso como parte de las demandas colectivas por daños causadospor la violación (ver Anexo 7 para el texto de la cláusula de arbitraje inicial). 60 La cláusula provocó un alboroto por parte de los consumidores y otros, incluido el Fiscal General del Estado de Nueva York, que se quejó de que los términos del servicio eran "inaceptables e inaplicables". 61 En respuesta, Equifax agregó una explicación a la sección de "preguntas frecuentes" sobre su incumplimiento en su sitio web el viernes 8 de septiembre, señalando que la cláusula de arbitraje se aplicaba "a los productos de protección de robo de identidad y monitoreo de archivos de crédito gratuitos, y no al incidente de seguridad cibernético". 62 Equifax finalmente retrocedió y eliminó la cláusula infractora, alegando que se había incluido por error después de los términos de uso que fueron copiados de otros lugares. 63 Además de la cláusula de arbitraje, Equifax también generó indignación al cobrar inicialmente a los consumidores por congelaciones de crédito, lo que evitaba que las agencias de crédito compartieran el archivo de crédito del consumidor con terceros con los que el consumidor no tenía una relación preexistente. Equifax redujo la tarifa de US$ 30.95 después de la protesta pública, proporcionando congelaciones de crédito de forma gratuita, pero planeó reducirlas en el 2018 con la introducción de un nuevo producto de "bloqueo de crédito". Estos movimientos llevaron a la crítica de los plazos limitados en las medidas de protección al consumidor de Equifax. Los consumidores, según el argumento, estarían en riesgo de robo de identidad durante años debido a la filtración de sus datos, mientras que Equifax solo les estaba proporcionando herramientas gratuitas para evitar el robo de identidad durante el próximo año. 64 Cada día parecía traer más revelaciones públicas sobre el alcance de la violación. Aunque Equifax había afirmado inicialmente que los piratas informáticos violaron sus sistemas a mediados de mayo, surgieron informes públicos el 18 de septiembre que detallaban la violación inicial en marzo (ver Anexo 8 para una línea de tiempo de la violación de Equifax). 65 Equifax afirmó que no había conexión entre la violación de marzo y la de mayo. 66 El 2 de octubre, Equifax confirmó que la investigación de Mandiant había descubierto 2.5 millones de personas adicionales afectadas por la violación. 67 El 10 de octubre, Equifax anunció que habían robado los datos de la licencia de conducir a diez millones de personas 68 y que habían robado información a 700,000 clientes del Reino Unido. 69 En febrero del 2018, surgieron informes de que la información comprometida del consumidor había incluido números de pasaporte, que Equifax no había revelado previamente. 70 Mientras tanto, la identidad y el motivo del grupo atacante seguían siendo un misterio. Algunos investigadores sospecharon que un gobierno extranjero era el responsable final de la violación debido a su similitud con los recientes ataques cibernéticos en el proveedor de seguros de salud Anthem, Inc. y la Oficina de Administración de Personal de EE. UU. Sin embargo, la incertidumbre se mantuvo, como Mandiant indicó en un informe a los clientes de Equifax a mediados de septiembre que no tenía suficientes datos para identificar a los responsables. 71
El Consejo de Administración y su papel en la ciberseguridad La junta de Equifax se enfrentó a un escrutinio significativo a raíz de la violación. La junta tenía 11 miembros (ver el Anexo 9 para el detalle de la junta de Equifax) con una tenencia promedio de 9.3 años, por encima del promedio de S&P 500 de 8.2 años, con un director que había servido desde 1992. 72 Entre las tres agencias de informes de crédito, Equifax era la única con un comité de tecnología separado con 12 This document is authorized for use only in Andrés Navas's MINCD-Andrés Navas at UDLA Universidad de las Americas from Sep 2021 to Nov 2021.
Violación de datos Equifax
120-S13
el mandato de monitorear la seguridad cibernética (ver el Anexo 10 para el detalle del comité de tecnología de Equifax). El comité de tecnología "revisaría las inversiones y la infraestructura tecnológica de la compañía asociadas con la gestión de riesgos, incluidas las políticas relacionadas con la recuperación de desastres de seguridad de la información y la continuidad del negocio". Tenía cinco miembros y fue presidido por John A. McKinley, CEO del proveedor de servicios de atención senior SaferAging Inc. McKinley había trabajado anteriormente como CTO de News Corporation, AOL Technologies, Merrill Lynch y GE Capital Corporation. 73 Otro miembro, Mark Templeton, había servido recientemente como CEO de la compañía de software de redes Citrix Systems.
La caída Además de la fuerte caída en el precio de las acciones de la compañía, la violación también les costó a varios ejecutivos su trabajo. Los CSO y CIO de Equifax renunciaron el 15 de septiembre. 74 Smith renunció como CEO y presidente el 26 de septiembre y fue reemplazado por do Regos Barros como CEO interino y el director Mark Feidler como presidente no ejecutivo. 75 La junta de Equifax reaccionó a los cargos de tráfico de información privilegiada por parte de los tres ejecutivos que vendieron acciones en los días posteriores al descubrimiento de la violación y a las denuncias de malversación por parte de la alta gerencia de la compañía. La junta anunció que estaba considerando recuperar la compensación de Smith y Mauldin. 76 También formó un comité especial para revisar las ventas de acciones y el papel de Kelley como CLO para aprobarlas. 77 El 26 de octubre, la junta anunció que agregaría a Scott McGregor, ex CEO del fabricante de semiconductores Broadcom, como director, y Feidler dijo que McGregor tenía "amplia experiencia en seguridad de datos, ciberseguridad, tecnología de la información y gestión de riesgos". 78 Unas semanas más tarde, el 3 de noviembre, la junta completó su revisión de las ventas de acciones, encontrando que los ejecutivos en cuestión no sabían sobre la violación cuando hicieron sus intercambios. 79 La violación también condujo a docenas de demandas y consultas gubernamentales. El fiscal general del estado de Nueva York anunció el 11 de septiembre que había iniciado una investigación formal. 80 La Comisión Federal de Comercio lanzó su propia investigación el 14 de septiembre, 81 y el Fiscal General de Massachusetts presentó una demanda el 19 de septiembre, 82 y el Fiscal de la Ciudad de San Francisco lo hizo el 27 de septiembre. 83 Un senador estadounidense calificó la violación de Equifax como "uno de los ejemplos más atroces de malversaciones corporativas desde Enron". 84 Otro inició una investigación sobre la violación, enviando cartas a Equifax y a las otras dos principales agencias de informes de crédito, así como a varias agencias del gobierno de los Estados Unidos. 85 Los funcionarios públicos fueron especialmente críticos con la falta de transparencia de Equifax y su demora en notificar al público. 86 Un grupo de senadores presentó la Ley de Explotación Freedom de Equifax, que "mejoraría los procedimientos de alerta de fraude y proporcionaría acceso gratuito a congelaciones de crédito y para otros fines". 87 La violación tenía el potencial de cambiar por completo las operaciones de la industria de informes crediticios. El director de la CFPB dijo que las tres principales agencias de informes enfrentarían un "nuevo régimen" de regulación, con reguladores integrados en cada compañía para evitar nuevas infracciones de la PII. Y dijo: “Tiene que haber un esquema de monitoreo preventivo en su lugar. Tendrán que aceptar eso, darán la bienvenida, tendrán que ser muy comunicativos". 88 El 18 de octubre, Change to Win (CtW) Investment Group, un asesor de inversiones y un grupo de activismo de accionistas afiliado a CtW, una federación de sindicatos estadounidenses que representaban a 5,5 millones de miembros, envió una carta al presidente de Equifax, Mark Feidler, criticando a la junta:
13 This document is authorized for use only in Andrés Navas's MINCD-Andrés Navas at UDLA Universidad de las Americas from Sep 2021 to Nov 2021.
120-S13
Violación de datos Equifax
A pesar de estar en el negocio de recopilar, almacenar y comercializar datos personales, la respuesta casual a la violación de datos indicaba que la Junta de Directores no anticipó una preocupación central para las operaciones de la Compañía. Al hacerlo, parece que la Junta y la gerencia pensaron poco en preservar el activo más importante de Equifax: su reputación como agencia de informes de crédito. 89 CtW afirmó que el directorio de Equifax "descuidó comprender la materialidad de la violación de datos tanto para los consumidores como para sus accionistas. El grupo presentó a la junta de Equifax seis propuestas para mejorar la gobernanza y responsabilizar a los ejecutivos, incluida la remoción de los presidentes de los comités de auditoría y tecnología, la separación permanente de los puestos de CEO y presidente, y la consideración de acuerdos legales para determinar la compensación ejecutiva (ver Anexo 11 para más información de la lista completa de las propuestas de CtW). CtW amenazó con retirar el apoyo a la reelección de directores en la próxima reunión anual en caso de que Equifax no implementara las propuestas. 90
Problemas de divulgación de incumplimiento La violación trajo a la superficie críticas de larga data de las leyes de divulgación de violación de datos de EE. UU. Transcurrieron aproximadamente seis semanas entre el momento en que Equifax descubrió la violación por primera vez, y la primera vez que la compañía reveló la violación a los consumidores. A raíz de la violación, los observadores cuestionaron si Equifax había violado las leyes de divulgación al esperar tanto tiempo. Sin embargo, los requisitos de divulgación diferían de un estado a otro. En algunos estados, se requirió la divulgación dentro de los 45 días posteriores al descubrimiento, mientras que en otros, no se impuso un plazo específico, simplemente que las empresas notificaran a los consumidores "lo antes posible". Algunos representantes del Congreso propusieron proyectos de ley que crearían un plazo unificado de 30 días para alertar a los consumidores. Algunos estados también buscaron mantener a Equifax para requisitos de divulgación más estrictos, con Nueva York trabajando para aplicar las reglas de seguridad cibernética de su institución financiera a las agencias de informes de crédito, exigiéndoles que alerten a los reguladores estatales de una violación dentro de las 72 horas posteriores al descubrimiento. 91
Conclusión En el trimestre posterior al anuncio de incumplimiento, las ganancias de Equifax cayeron un 27 por ciento año tras año. Inmediatamente enfrentó casi $90 millones en costos relacionados con el incumplimiento, 240 demandas de consumidores, investigaciones separadas por parte de la FTC, CFPB, SEC y reguladores británicos y canadienses, y solicitudes de información sobre el incumplimiento de los 50 fiscales generales de los Estados Unidos. 92 El daño a la compañía había sido severo. Sin embargo, Equifax no estaba solo en el sufrimiento de la actividad cibernética maliciosa. A lo largo del 2017, el FBI recibió informes de violaciones de datos de 3,785 víctimas corporativas diferentes en los EE. UU. 93 Además, la compañía de TI Cisco descubrió que el 55 por ciento de las 3,548 organizaciones que encuestó para su estudio de referencia de capacidades de seguridad del 2018 habían experimentado violaciones de datos en el 2017, al igual que el 80 por ciento de las organizaciones con más de 50 proveedores. 94 Además, los piratas informáticos en grandes empresas generalmente no eran triviales. El Consejo de Asesores Económicos del Presidente descubrió que, en promedio, las grandes corporaciones que cotizaban en bolsa perdieron US$498 millones en capitalización bursátil por cada ciberataque importante que sufrieron entre enero del 2000 y enero del 2017. 95 A la luz de esto, muchos expertos preguntaron qué podría haber hecho Equifax de manera diferente para protegerse, otros se preguntaban si Equifax fue realmente negligente o simplemente desafortunado.
14 This document is authorized for use only in Andrés Navas's MINCD-Andrés Navas at UDLA Universidad de las Americas from Sep 2021 to Nov 2021.
Violación de datos Equifax
120-S13
Anexo 1 Explicación técnica del ataque preparado por el Comité de Supervisión y Reforma del Gobierno de la Cámara de Representantes Después de ingresar al entorno ACIS a través de la vulnerabilidad Apache Struts, los atacantes cargaron los primeros shells web, que son scripts maliciosos cargados en un servidor comprometido para permitir el control remoto de la máquina [...]. Los shells web pueden habilitar la manipulación del sistema de archivos y la base de datos, facilitar la ejecución de comandos del sistema y proporcionar la capacidad de carga/ descarga de archivos. En esencia, un shell web proporciona una puerta trasera secreta para que un atacante vuelva a entrar e interactúe con un sistema comprometido. El entorno ACIS estaba compuesto por dos servidores web y dos servidores de aplicaciones, con firewalls configurados en el perímetro de los servidores web. Los atacantes explotaron la vulnerabilidad Apache Struts que se encontraba en los servidores de aplicaciones para evitar estos firewalls. Una vez dentro de la red, los atacantes crearon shells web en ambos servidores de aplicaciones. Esto proporcionó a los atacantes la capacidad de ejecutar comandos directamente en el sistema alojado en los servidores de aplicaciones. Se utilizaron aproximadamente 30 proyectiles web únicos para realizar el ataque. Según Mandiant, el monitoreo de integridad de archivos podría haber descubierto la creación de estos shells web al detectar y alertar sobre cambios de red potencialmente no autorizados. Equifax no tenía el monitoreo de integridad de archivos habilitado en el sistema ACIS en el momento del ataque. Después de instalar los primeros shells web, los atacantes accedieron a un recurso compartido de archivos montado que contenía credenciales de aplicación sin cifrar (es decir, nombre de usuario y contraseña) almacenados en una base de datos de archivos de configuración [...]. El montaje es un proceso mediante el cual el sistema operativo hace que los archivos y directorios en un dispositivo de almacenamiento estén disponibles para acceso interno a través del sistema de archivos de la computadora. Los atacantes podían acceder al recurso compartido de archivos porque Equifax no limitó el acceso a archivos confidenciales en sus sistemas de TI heredados internos. Ayres declaró que el almacenamiento de estas credenciales de esta manera era inconsistente con la política de Equifax. Aunque la aplicación ACIS requería acceso a solo tres bases de datos dentro del entorno Equifax para realizar su función comercial, la aplicación no estaba segmentada de otras bases de datos no relacionadas. Como resultado, los atacantes utilizaron las credenciales de la aplicación para obtener acceso a 48 bases de datos no relacionadas fuera del entorno de ACIS. Los atacantes realizaron aproximadamente 9,000 consultas en estas bases de datos y obtuvieron acceso a datos confidenciales almacenados [...]. Los atacantes consultaron los metadatos de una tabla específica para descubrir el tipo de información contenida en la tabla. Una vez que los atacantes encontraron una tabla con PII, realizaron consultas adicionales para recuperar los datos de la tabla.184 En total, 265 de las 9,000 consultas que los atacantes ejecutaron dentro del entorno Equifax devolvieron conjuntos de datos que contenían PII. Ninguna PII contenida en estos conjuntos de datos se cifró en reposo. Los atacantes almacenaron la salida de datos PII de cada una de las 265 consultas exitosas en archivos. Los atacantes comprimieron estos archivos y los colocaron en un directorio web accesible. Luego, los atacantes emitieron comandos a través de la herramienta Wget, una utilidad común del sistema que permitía al usuario emitir comandos y recuperar contenido de los servidores web, para transferir los archivos de datos fuera del entorno Equifax. Los atacantes utilizaron los shells web para filtrar algunos de los datos [...] y aproximadamente 35 direcciones IP diferentes para interactuar con el entorno ACIS. Fuente:
Cámara de Representantes de los Estados Unidos: Comité de Supervisión y Reforma del Gobierno, “The Equifax Data Breach,” Majority Staff Report, December 2018, p. 31-33, https://republicans-oversight.house.gov/wpcontent/uploads/2018/12/Equifax-Report.pdf, accedido en enero del 2019.
15 This document is authorized for use only in Andrés Navas's MINCD-Andrés Navas at UDLA Universidad de las Americas from Sep 2021 to Nov 2021.
120-S13
Violación de datos Equifax
Anexo 2
Ciberseguridad en Equifax y sus competidores TransUnion
Experian
Equifax
Tiempo de implementación para parches críticos Escaneos regulares de vulnerabilidad
View more...
Comments
